نشرت تحت تصنيف Wireless - Security

فلسفة الحماية بـ WPA / WPA2



نظرا لضعف تقنية التشفير Wired Equivalent Privacy (WEP) فقد قامت مؤسسة Wi-Fi و جمعية مهندسي الكهرباء و الإلكترونيات IEEE بالعمل سويا لاستبداله بمعيار أكثر أمانا و خرج الي النور جيلين الأول يخص Wi-Fi و هو Wi-Fi Protected Access (WPA) و الثاني يخص IEEE و يسمي IEEE 802.11i/WPA2

فأما Wi-Fi Protected Access (WPA) فقد قامت منظمة الواي فاي بإطلاقه في 2003  بغرض سرعة استبدال المعيار القديم WEP و هو النسخة الأولية draft للمعيار الأحدث Wi-Fi Protected Access II (WPA2) و الذي يسمي أيضا IEEE 802.11i

و أما IEEE 802.11i/WPA2 فهو كما ذكرنا المعيار الأحدث و الأعقد و قد أطلق في 2004 و لهذا فإنه يسمي أيضا  IEEE 802.11i-2004 و كل أكسس بوينت التي أنتجت بعد 2003 تستطيع أن تتعامل مع WPA مباشرة أو بترقية برامج تصنيعها firmware

مميزات WPA

تكمن فكرة WPA في استخدام Temporal Key Integrity Protocol (TKIP) و ذلك لتغيير مفاتيح تشفير بطول 128-bit  بشكل اوتوماتيكي لكل Packet علي عكس WEP الذي يستخدم مفاتيح تشفير بطول 40-bit أو 104-bit  تدخلها في الأكسس بوينت و الجهاز الذي سيستخدم الشبكة و الذي يستخدم تقنية RC4 و تم بعدها تعديل بنيته ليعتمد علي AES encryption

يحتوي أيضا WPA علي تقنية تسمي Micheal و هي تقنية فحص للرزم message integrity check MIC و هي البديلة لتقنية cyclic redundancy check CRC المستخدمة في WEP و هذه التقنية هي التي مكنت WPA من منع إختراقه بحجب عملية capturing التي تستخدم في أخذ نسخ من الرزم المرسلة و تحليلها لإختراق الشبكة و رغم قوة MIC الا أنه استبدل ايضا في WPA2 بوسيلة أكثر قوة

WPA Authentication Modes


لدينا نوعان للتوثيق هما (WPA Personal) و (WPA Enterprise)

WPA Personal


في WPA Personal يتم بإستخدام مفتاح متفق عليه بين الجهاز و الأكسس بوينت pre-shared keys (WPA-PSK) و هو المستخدم غالبا في الشبكات الخفيفة SOHO مثل المنازل حيث يعتبر استخدام RADIUS server خيار غير عملي و لهذا فإن WPA يشبه WEP في كونه يسمح بإستخدام pre-shared key (PSK) كمفتاح مشترك بين client و access point

WPA Enterprise


و أما (WPA Enterprise) فيتم بإستخدام سيرفر مركزي ببروتوكولات توثيق 802.1X/EAP أو بأي نوع EAP مثل EAP-TLS (Transport Layer Security) أو EAP-TTLS PEAP (Protected EAP أو MS-CHAP v2 [Microsoft Challenge Handshake Authentication Protocol] أو غيرها


كما هو الحال مع بروتوكلات التوثيق يتم استخدام فريمات التراسل (probe request, probe response) بين الجهاز و الأكسس بوينت الا أن الإختلاف يكمن في أنه لابد أن يتوافق الأكسس بوينت و الجهاز علي هذه العملية أمنيا ثم يستكمل خطوات توثيق 802.1X و عند استكمالها يقوم السيرفر بإرسال master key الي الأكسس بوينت و التي أخذها مسبقا من الجهاز الطالب للإتصال و لهذا يسمي المفتاح Pairwise Master Key (PMK)

ثم يتم بعدها عملية تراسل رباعي four-way handshake و التي يتم منها توليد مفتاح آخر يسمي Pairwise Transient Key (PTK)

ثم يبدأ بعدها مرحلة جديدة من التراسل تسمي two-way group key handshake يحدث تراسل مشفر بواسطة Group Transient Key (GTK), بين client و authenticator

Unicast Keys: Four-Way Handshake
				


يتم التراسل بين الأكسس بوينت عبر أربع خطوات تسمي four-way handshake ينتج بعدها مفتاح جديد Pairwise Transient Key (PTK) يؤكد عملية الإتصال و التي بدأت عبر مفتاح Pairwise Master Key (PMK)

لعملية التراسل WPA four-way الرباعي عدة فوائد أهمها

  • تأكيد مفاتيح PMK بين Supplicant و Authenticator
  • توليد المفاتيح المؤقتة pairwise temporal keys
  • توثيق معاملات التأمين المتبادلة

قبل أن تحدث عملية التراسل الرباعي WPA four-way handshake لابد أن يتم توليد pairwise master key كنتيجة لعملية توثيق 802.1X بين client و authentication server ثم تتوالي الخطوات التالية

أولا يقوم AP بإرسال رقم عشوائي Nonce الي Client يستخدم لجلسة واحدة فقط one session

ثانيا بهذا الرقم العشوائي و باستخدام أيضا PMK يقوم Client بتوليد مفتاح لتشفير البيانات التي سترسل الي AP و يتم استخدام دالة تسمي pseudo-random function (PRF) و ذلك لحساب PTK كدالة في الأرقام العشوائية المتولدة في Client و AP و في MAC و في PMK أو المفتاح المشترك و يتم حماية الفريم المرسل بواسطة frame check sequence (FCS) بواسطة تقنية MIC (message integrity check) و ذلك للتأكد من أن الفريم لم يتم اعتراضه

ثالثا يقوم الأكسس بوينت بعد تلقيه nonce بإرساله مرة اخري الي Client بنفس السياسة الأمنية المستقبل بها و يقوم أيضا الأكسس بوينت بإرسال group key و بهذا يكون هناك توثيق بين الأكسس بيونت و الجهاز

رابعا يتم تأكيد أن المفاتيح قد تم ارسالها و العملية جاهزة للتراسل

بمجرد الحصول علي المفتاح المؤقت PTK بطول 64 bit فإنه يتم تقسيمه الي خمس مفاتيح

الأول بطول 16-byte و يسمي EAP over LAN-Key Encryption Key و يختصر لـ EAPOL-KEK و يستخدم في تشفير أي بيانات إضافية مرسلة الي Client

الثاني بطول 16 byte و يسمي EAPOL-Key Confirmation Key و يختصر لـ KCK و يستخدم لحساب MIC

الثالث بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفير unicast data

Packets

الرابع و الخامس كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client

Group Key Handshake


يستخدم GTK (Groupwise Transient Key ) لمنع الجهاز من استقبال أي رسائل من الأكسس بوينت و يتم ذلك عبر التراسل الثنائي two-way handshake بهذا السيناريو

أولا يقوم الأكسس بوينت بإرسال GTK جديد لكل الأجهزة في الشبكة و يتم تشفيرها بإستخدام KEK و حمايتها باستخدام MIC

ثانيا تقوم هذه الأجهزة بالإستجابة لـ GTK و الرد علي الأكسس بوينت

و يكون GTK (Groupwise Transient Key ) بطول 32 bytes مقسمة الي ثلاث مفاتيح

الأول بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفير unicast data

Packets

و الثاني و الثالث كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client

WPA Encryption


كما أن WPA قد دعم عملية التوثيق authentication بشكل كبير فإنه أيضا فد قام بتحسين التشفير encryption  أيضا بشكل رائع حسن و ذلك عبر نظامين هما AES  و TKIP

أما AES فهو نظام جديد أقوي من نظام التشفير RC4 المستخدم مع WEP  و لكنه يحتاج الي الكثير من الطاقة بالإضافة الي ضرورة دعم الجهاز لهذا النوع من التشفير

و أما TKIP و هو اختصار Temporal Key Integrity Protocol فهو بروتوكول لا زال يستخدم تقنية RC4  و هي الخيار الإفتراضي للـ WPA الا أن به تحسينات عن الذي يستخدم مع WEP حيث أنه يستخدم مفاتيح بطول 128 bit بعد أن كان  يستخدم مفاتيح بطول 40-bit مع WEP

أما العيب الثاني الذي تخطاه WPA  هو IV initialization vector     فمن المعروف أن المفتاح يتم مزجه مع المفتاح الرئيسي  بواسطة عملية XOR  كما بالشكل السابق و لأن IV  في  WEP قيمة محددة  لا تتغير و غير مشفرة  فإنه و باستخدام بعض برامج بتحليل Packets تستطيع أن تكشف قيمة IV و من ثم  تكسر هذا التشفير و ذلك في غضون ساعات قليلة

أما في WPA فتغيرت هذه العملية كذلك أصبح IV بطول 48 bit  و ليس بطول 24 bit  كما كان في WEP   و هذا يحتاج 280 تريليون محاولة لكسره أي ما يساوي محاولات تتم في 645 سنة

كذلك يتم عمل عملية مزج   mixerلكل  مفتاح PTK مع عنوان الجهاز MAC مع رقم كل باكت مخرجا لنا مفتاح متغير لكل باكت  ثم مزج ذلك مع IV ليتم تشفير البيانات المرسلة بها و بهذا فإنه بالإضافة لصعوبة كسر هذا التشفير فإنه الأكسس بوينت يستطيع اكتشاف عملية الإختراق بواسطة عنوان الجهاز المرسل مع مفتاح التشفير

Message Integrity Check

 
التعديل الآخر في WPA  هو استخدام تقنية تسمي Message Integrity Code تختصر الي MIC أو Michael حيث يتم وضع بعص bits القليلة الي الباكت قبل تشفيرها و ذلك لمراقبة مدي سلامة ارسال الباكت

WPA2 / 802.11i

الآن لدينا في WPA مفاتيح أطول و IV أطول و مزج فعال و كذلك تقنية MIC للتأكد من سلامة وصول الباكت الا أن عملية التراسل الرباعي الموجودة في WPA PSK المدعوم افتراضيا في شبكات SOHO تغري بلإختراق و ذلك عبر عمل عملية فك الإرتباط deauthentication و من ثم انتحال شخصية أحد أجهزة الشبكة , و ان كان هذا الأمر أصعب بكثير مما يتم في WEP الا أنه يحدث و هذا ما دعا الخبراء الي الإنتقال الي WPA2


WPA2 مبني علي 802.11i و انتهي منه في 2004 و يدعم بروتوكولات التوثيق المركزي 802.1X و يستبدل تقنية تشفير RC4 بالجيل الثاني من طرق التشفير AES الذي أطلق من قبل National Institute of Standards and Technology (NIST) والذي يستخدم عمليات مزج تسمي Rijndael algorithm و يعلو بالتأمين بإستخدام IV لكل بلوك مرسل و يستخدم أيضا طلايقة التأكد من وصول الباكت MIC مثلما يفعل WPA

و هذه مقارنة بين WPA, WPA2, 802.11i


تطوير سيسكو الخاص بـ WPA

دائما سيسكو لها لمساتها في أي تقنية ومن هذه اللمسات الرائعة key caching حيث يتم حفظ مفاتيح الولوج عند خروج الأجهزة من الشبكة وذلك عبر تثبيت قيمة SA لكل جهاز وعند رجوعه الي حيز الشبكة يستطيع الدخول مرة أخري بدون الحاجة الي إعادة التوثيق


كذلك قامت سيسكو بتطوير WPA بعمل مركزية لمفاتيح الولوج تسمي Cisco Centralized Key Management حيث يقوم الكنترولر بإدارة عمليات الربط association كما يحدث في 802.1X حيث يقوم الكنترولر بدور الموثق authenticator و ليس الأكسس بوينت فبمجرد ارتباط الأكسس بيونت بالكنترولر يتم توثيقه في أقل من 100 مللي ثانية و يحدث نفس الأمر عند رجوعه مرة أخري في حال ابتعاده حيث يحدث تخزين caching لمفتاح PMK



المعلق:

مهندس عربي يطمح و يساعد في الرقي بالمحتوي العربي للتكنولوجيا عبر ترجمة و اعداد مقالات و كتب علمية في مجال الشبكات و الإتصالات السلكية و اللاسلكية

رأيان على “فلسفة الحماية بـ WPA / WPA2

  1. التنبيهات: غير معروف

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار وردبرس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s